Windows XP用に exFAT ドライバが出ているので、これをインストールすれば OK だと考えていたんですが、読み書きはできるけどフォーマットはできないんですね。パーティションを作成してフォーマットするファイルシステムの選択肢に exFAT がないという状況…

ファイルのアロケーション情報を追跡する仕組みとしては、FATテーブルも利用されているわけですが、とりあえず FAT テーブルはこんな↓感じですね。FAT32 と同じく 4バイトで一つのクラスタを示すみたいですね。下記パターンでいくと、赤字部分の4バイトがク…

今回の FNG01 でも、前回に引き続き以下の資料を参考にさせていただきました。 exFAT 構造解析 http://homepage3.nifty.com/k-takata/diary/exFAT.txt この資料をベースに EnCase で解析することで結構スムーズにファイルシステムの内容が理解できたのではな…

Bitmapファイルの仕組み自体はNTFSでも利用されているものになるかと思いますが、Bitmapファイル自体はこんな内容になっています。それぞれのビットがクラスタの割り当て状況を示していることになります。 FF FF FF FF FF FF FF FF FF FF FF FF 07 00 00 00 …

バイナリエディで見るとわかりにくいファイルシステム上の配置状況なども、EFのDISKビューで表示することで色分けされるので、なんとなくわかった気分になるのが不思議ですかね（笑） USBメモリの先頭セクタ（PS 0）パーティションテーブルを確認すると、ま…

前回 exFAT をテーマにした時には、フォレンジック系のツールで対応しているものが少なく、とりあえずバイナリエディタを利用してファイルシステムを追いかけたのですが、流石にちょっと大変だったわけです。当時はEnCaseもexFATに対応しておらず、現時点で…